Pare-feu et sécurité SSH

Le pare-feu est par défaut configuré comme indiqué ci-dessous.

Par défaut, sur l'interface publique, toutes les connexions entrantes sont rejetées.

Règles de pare-feu en entrée (chaîne INPUT) - Interface publique

TCP 65022 : pour les connexions SSH
HTTP 80/HTTPS 443 : pour les connexions web
ICMP : pour le monitoring
FTP COMMAND 21 : commandes FTP(s)
FTP DATA 20/port aléatoire : données FTP(s)

Règles de pare-feu en sortie (chaîne OUTPUT) :

Toutes les connexions sortantes sont autorisées.

Cas particuliers

Certains ports spécifiques sont également ouverts en fonction des services installés. Le trafic en entrée/sortie est complètement ouvert sur votre réseau privé (vRack).

Service fail2ban

Le service fail2ban est installé sur les serveurs afin d’éviter les attaques par brute force. Il est paramétré comme suit

Nombre d’erreurs	5
Période d’analyse	10 minutes
Durée de bannissement	24 heures
Services concernés	ssh, pure-ftp

Le service analyse alors les logs : s’il y a 5 erreurs d’authentification durant une période d’analyse de 10 minutes, l’adresse IP sera bloquée durant 24 heures sur le service concerné.

Pare-feu et sécurité SSH

Règles de pare-feu en entrée (chaîne INPUT) - Interface publique​

Règles de pare-feu en sortie (chaîne OUTPUT) :​

Cas particuliers​

Service fail2ban​

Règles de pare-feu en entrée (chaîne INPUT) - Interface publique

Règles de pare-feu en sortie (chaîne OUTPUT) :

Cas particuliers

Service fail2ban